Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.
Fuld biografi udgivet i Zero Day den 15. december 2021 | Emne: Sikkerhed
Meta har annonceret en udvidelse af sin bug bounty-platform til at inkludere sårbarheder, der kan misbruges til dataskrabning.
I onsdags sagde virksomheden – for nylig omdøbt fra Facebook – at de to nye forskningsområder drejer sig om at skrabe fejl og skrabe databaser, der indeholder brugeroplysninger.
Dan Gurfinkel, Security Engineering Manager, sagde, at inklusion af gyldige skrabefejl og eksponerede datasæt i et bug bounty-program er, så vidt firmaet ved, en “industri først.”
Meta/Facebook har været involveret i adskillige hændelser omkring brugerdataskrabning. Den mest kendte er Cambridge Analytica-skandalen, hvor data fra op til 87 millioner brugere blev skrabet og delt uden deres samtykke.
For nylig blev oplysninger tilhørende cirka 553 millioner Facebook-brugere dumpet online. Meta sagde, at massedataindsamlingen fandt sted i 2019.
“Vi ved, at automatiseret aktivitet designet til at skrabe folks offentlige og private data målretter sig mod enhver hjemmeside eller tjeneste,” siger Gurfinkel. “Vi ved også, at det er et meget modstridende område, hvor skrabere – det være sig ondsindede apps, websteder eller scripts – konstant tilpasser deres taktik for at undgå opdagelse som svar på det forsvar, vi bygger og forbedrer.”
For at hjælpe virksomheden med at løse data-skrabningsproblemer på tværs af sine apps og tjenester hurtigt, leder Meta efter rapporter om sårbarheder, der gør det muligt at omgå skrabningsgrænsemekanismer, og dem, der tillader skrabning “i større skala end produktet tilsigtede.” Især opfordrer Meta forskere til at lede efter problemer med logisk omgåelse, selvom hastighedsbegrænsende fejl også er inden for rammerne.
Skradte databaser vil omfatte rapporter om ubeskyttede og åbne offentlige databaser, opdaget online, som indeholder mindst 100.000 registreringer af unikke brugere, såvel som følsomme oplysninger såsom e-mailadresser og telefonnumre.
Der tilbydes økonomiske belønninger fra $500 for at skrabe fejl, og skrabet databaserapporter vil blive matchet med donationer til velgørenhed. Der vil blive indhentet feedback fra firmaets “top” bug dusørjægere før udvidelsen.
Gurfinkel skitserede også virksomhedens fremskridt med bug-bounties. Siden 2011, programmets lancering, er der modtaget over 150.000 fejlrapporter, og over 7.800 er blevet tildelt en dusørbetaling. I alt har Meta nu udbetalt over 14 millioner dollars.
I løbet af 2021 har Meta tildelt 2,3 millioner dollars til forskere for 800 sårbarhedsrapporter ud af cirka 25.000.
Tidligere på måneden øgede Meta omfanget af Facebook Protect, en tjeneste designet til at forbedre sikkerheden for brugerkonti, der anses for at have en højere risiko for kompromittering af trusselsaktører.
Inden udgangen af dette år skulle Facebook Protect være udrullet til over 50 lande. På samme måde som Google og Microsoft tilbyder Meta denne service til enkeltpersoner, herunder advokater, journalister, medlemmer af borgerrettighedsorganisationer og politiske personer.
Tidligere og relateret dækning
Meta sagsøgte for over 150 milliarder dollars for sin rolle i Rohingya-folkemordet
Hvordan Meta kunne ødelægge metaverset
Meta-udvidende Facebook-sikkerhedsprogram for embedsmænd, journalister, aktivister
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre